Sau đõy là cỏc giao diện được sử dụng để đảm bảo an ninh cho cỏc giao thức trờn nền IP:
i) Giao diện Za
• Za là giao diện giữa hai SEG và bao trựm lờn tất cả cỏc lưu lượng NDS/IP được truyền giữa hai SEG. Đối với giao diện Za thỡ cơ chế nhận thực và đảm bảo tớnh toàn vẹn là bắt buộc, cũn cơ chế mó húa chỉ mang tớnh chất khuyến nghị. Giao thức ESP sẽ
được sử dụng để cung cấp cỏc đặc tớnh an ninh này. Cỏc SEG tiến hành thỏa thuận, thiết lập và duy trỡ đường hầm an ninh ESP giữa chỳng thụng qua giao thức IKE. Đường hầm này sau đú được dựng để truyền lưu lượng giữa hai miền an ninh (giả sử là hai miền A và B). Giữa cỏc SEG cú thể luụn tồn tại cỏc đường hầm nối hoặc chỉ được thiết lập khi cần thiết.
• Một SEG của miền này chỉ phải liờn kết đến những miền nào cú nhu cầu trao đổi lưu lượng nhằm giỳp hạn chế số lượng SA cần phải duy trỡ giữa cỏc miền.
ii) Giao diện Zb
• Zb là giao diện giữa thiết bị mạng và SEG hay giữa cỏc thiết bị mạng với nhau trong cựng miền an ninh. Việc sử dụng giao diện này để thực hiện xử lý IPSec chỉ cú tớnh tựy chọn. Zb cũng dựng hai giao thức là ESP và IKE.
• Trờn giao diện Zb, ESP cú chức năng cung cấp chức năng nhận thực và đảm bảo tớnh toàn vẹn cho dữ liệu, cũn chức năng mó húa chỉ cú tớnh tựy chọn. Cỏc lưu lượng cần được bảo vệ sẽ truyền trờn SA ESP.
• SA cú thể được thiết lập trong trường hợp cần thiết hoặc theo yờu cầu của người điều hành để truyền lưu lượng NDS/IP giữa cỏc thiết bị mạng khỏc nhau.
Chỳ ý:
• Chớnh sỏch an ninh được thiết lập trờn giao diện Za cú thể phải tuõn thủ theo cỏc khuyến nghị về chuyển vựng. Nhưng đối với giao diện Zb thỡ lại khỏc, chớnh sỏch này do người quản lý quyết định.
• Yờu cầu đảm bảo an ninh cho lưu lượng trao đổi giữa hai thiết bị của hai miền mạng khỏc nhau sẽ khụng ngăn cấm một thực thể vật lý cú đồng thời cỏc chức năng của thiết bị mạng và SEG. Do SEG cú chức năng triển khai cỏc chớnh sỏch an ninh đối với cỏc miền đớch bờn ngoài nờn thực thể tổng hợp trờn cũng phải cú chức năng tương tự. Cơ chế hoạt động của NDS/IP sẽ hỗ trợ chức năng đảm bảo an ninh trực tiếp cho lưu lượng giữa hai thiết bị mạng của hai miền khỏc nhau nếu cả hai thiết bị này đều cú chức năng của SEG. Trong trường hợp thiết bị mạng và SEG được tớch hợp vào trong một thực thể vật lý thỡ cỏc thiết bị mạng khỏc sẽ khụng thể sử dụng chức năng của cổng này để truyền thụng với cỏc miền an ninh bờn ngoài.
Đồ ỏn tốt nghiệp đại học Kết luận
KấT LUÂN
IMS núi riờng và NGN Release 1 núi chung là những vấn đề khỏ mới mẻ đối với lĩnh vực viễn thụng ngày nay. Việc phỏt triển IMS hứa hẹn sẽ đem lại cho khỏch hàng một cơ sở hạ tầng viễn thụng hiện đại hơn, cho phộp cỏc thiết bị đầu cuối hội tụ được nhiều chức năng, khụng những thế thời gian tạo lập dịch vụ cũng được rỳt ngắn đi rừ rệt. Bờn cạnh đú, IMS cũn cung cấp cho khỏch hàng cỏc dịch vụ phong phỳ hơn với chất lượng ngày càng được nõng cao.
Sau thời gian nghiờn cứu, đồ ỏn của em đó hoàn thành được những nội dung như sau:
• Giới thiệu tổng quan kiến trỳc của IMS cựng cỏc phần tử chức năng và cỏc giao thức cơ bản được sử dụng.
• Tỡm hiểu giao thức Diameter và quỏ trỡnh nhận thực phõn quyền và thanh toỏn trong IMS sử dụng giao thức Diameter.
• Túm tắt được những thủ tục cần thiết để đảm bảo an ninh, quỏ trỡnh nhận thực và mó húa để đảm bảo tớnh bảo mật trong IMS.
Do hạn chế của bản thõn và sự rộng lớn của vấn đề bảo mật Nờn đồ ỏn của em cũn nhiều thiếu xút. Em rất mong sự thụng cảm và đúng gúp của cỏc thầy cụ để em cú những hiểu biết đỳng đắn và hoàn thiện hơn. Em xin chõn thành cảm ơn.
TÀI LIỆU THAM KHẢO
1. Gonzalo Camarillo and Miguel A. Garcớa – Martớn, “The 3G IP Multimedia Subsystem (IMS)”, John Wiley & Sons Ltd, England, May 2006.
2. 3GPP TS 23.228, “IP Multimedia Subsystem Release 8”, June, 2007.
3. 3GPP TS 33.203, “3G Security; Access Security for IP-based services”, September 2007.
4. 3GPP TS 33.210, “Network Domain Security; IP Networt Security”, December 2006.
5. ETSI ES 287 007, “IP Multimedia Subsystem (IMS)”, June 2006.